Phishing to rodzaj ataku za pośrednictwem poczty elektronicznej z wykorzystaniem inżynierii społecznej, którego celem jest kradzież danych użytkownika lub firmy. Ataki typu phishing są najskuteczniejsze wtedy, gdy użytkownik nie wie, co się dzieje.
Phishing jest metodą wyłudzania znaną od połowy lat dziewięćdziesiątych ubiegłego wieku. Zaczęło się od grupy młodych ludzi, którzy podszyli się pod administratorów chat roomów AOL. Ukradli numery kart kredytowych innych użytkowników, aby zapewnić sobie stały i bezpłatny dostęp do usług AOL.
Funkcja chat roomu AOL dla nowych użytkowników została stworzona dla osób potrzebujących pomocy z dostępem do witryny. Hakerzy tworzyli nazwy przypominające prawdziwe nazwy administratorów AOL, np. „BillingAccounting”, i informowali użytkowników, że wystąpił problem z dostępem do ich konta.
Następnie prosili ich o podanie numeru karty, aby rozwiązać problem. Potem przestępcy wykorzystywali te dane do płacenia za własne konta. Choć termin „phishing” początkowo oznaczał właśnie tego typu ataki, obecnie głównie kojarzy się z próbami ataku przez pocztę e-mail. Do dnia dzisiejszego oszustwa metodą phishingową są jednymi z najczęstszych. Według Raportu Verizon na temat śledztw w sprawie naruszenia ochrony danych (DBIR) w 36% przypadków jest wykorzystywany phishing.
Ponieważ phishing opiera się głównie na inżynierii społecznej, konieczne jest zrozumienie, w jaki sposób działają atakujący, wykorzystujący ludzką naturę. Po pierwsze, inżynieria społeczna jest oszustwem, które hakerzy wykorzystują, aby przekonać użytkowników do zrobienia czegoś, czego normalnie by nie zrobili.
Może przybrać tak prostą formę, jak poproszenie kogoś o otwarcie drzwi, bo ma się zajęte ręce. Analogicznie, atak z wykorzystaniem inżynierii społecznej może zacząć się od porzucenia przez kogoś pamięci USB z podpisem „zdjęcia rodzinne” na parkingu. Taka pamięć może zawierać malware, który zainstaluje się na komputerze, narażając jego bezpieczeństwo. Nazwa tej techniki to baiting.
Terminem phishing określa się głównie ogólne ataki z wykorzystaniem poczty elektronicznej. Polegają one na wysyłaniu wiadomości e-mail na jak największą liczbę adresów z wykorzystaniem wizerunku powszechnie używanych usług, takich jak PayPal czy Bank of America.
W wiadomości jest napisane, że doszło do włamania na konto i należy kliknąć odnośnik, aby sprawdzić, czy wszystko jest w porządku. Skutki kliknięcia tego łącza mogą być dwojakie:
W toku wielu lat ewolucji phishing przybrał wiele form w zależności od typów danych. Oprócz pieniędzy, celem ataków mogą być także dane wrażliwe lub zdjęcia.
Atak phishingowy jest działaniem lub serią działań mających na celu wykorzystanie użytkownika. Phishingowe wiadomości e-mail można dość łatwo rozpoznać po niepoprawnej gramatyce i literówkach. Jednak hakerzy stosują coraz bardziej zaawansowane metody i nowe ataki grają na ludzkich emocjach, takich jak strach, złość czy ciekawość.
Atak na RSA z 2011 roku był skierowany przeciwko zaledwie czterem osobom w organizacji. Wiadomość e-mail nie była zbyt wyszukana, ale osiągnęła cel, ponieważ została skierowana do odpowiednich osób. Dostały one wiadomość zatytułowaną „2011 Recruitment plan.xls”, która powinna je zainteresować, ale niekoniecznie byłaby ciekawa dla innych osób z organizacji.
Istnieje wiele rodzajów ataków phishingowych. Zaliczają się do nich klasyczne ataki z wykorzystaniem poczty elektronicznej, przez media społecznościowe oraz techniki o niezwykle brzmiących nazwach, takich jak smishing i vishing.
Coraz większym problemem stają się wewnętrzne ataki phishingowe. Ich cechą charakterystyczną jest to, że oszustem wysyłającym fałszywą wiadomość jest zaufana osoba z tej samej organizacji. Ponieważ wiadomość pochodzi od zaufanej osoby, istnieje większe prawdopodobieństwo, że odbiorca kliknie łącze, otworzy załącznik lub przekaże żądaną informację.
Aby wysyłać wewnętrzne wiadomości phishingowe, napastnik musi skraść dane uwierzytelniające do skrzynki pocztowej ofiary. Ponadto przestępca może uzyskać fizyczny dostęp do urządzenia użytkownika, które zostało zgubione lub pozostawione bez opieki albo za pośrednictwem zainstalowanego w nim malware. Wewnętrzne phishingowe wiadomości elektroniczne są częścią wieloetapowych ataków, których celem końcowym jest np. zażądanie okupu (ransomware) lub kradzież środków finansowych bądź zasobów
Smishing jest rodzajem ataku, który wykorzystuje urządzenia mobilne. Obecnie sprzedaje się więcej urządzeń mobilnych niż komputerów, nic więc dziwnego, że hakerzy zaczęli wykorzystywać tę platformę w celu kradzieży danych osobowych. Ataki typu smishing często polegają na wysłaniu do ofiary wiadomości tekstowej, w której informuje się ją, że wystąpił problem z jej kontem i prosi się o oddzwonienie na podany numer, aby go rozwiązać. Telefon odbiera sam haker lub zatrudniony przez niego „pracownik”, który ma kontynuować akcję.
Jeśli ofiara nie oddzwoni, hakerzy mogą do niej zadzwonić z informacją, że doszło do ataku na jej konto oraz prośbą o podanie danych tego konta, aby rozwiązać problem. Hakerzy często opierają swój sukces na liczbie rozmów. To nazywa się vishing.
Dowiedz się więcej o smishingu.
Media społecznościowe stały się ważnym elementem naszego życia online, na tyle, że hakerzy nauczyli się je wykorzystywać do phishingu. Jednym z typowych ataków z wykorzystaniem Facebooka jest publikowanie „okazji” lub „ofert” na kontach „przyjaciół” zachęcających do kliknięcia. Aby przeprowadzić taką akcję, haker musi zdobyć dostęp do czyjegoś konta.
Staje się to łatwe, kiedy w innej firmie dochodzi do ataku na serwery, którego efektem jest wyciek haseł. Hakerzy wypróbowują takie same kombinacje adresów e-mail i haseł na innych popularnych platformach, takich jak Facebook lub LinkedIn.
Dowiedz się więcej o phishingu w mediach społecznościowych.
Kiedy użytkownicy zaczęli rozpoznawać ataki typu phishing, hakerzy sięgnęli po nowe metody ataku. W atakach typu pharming wykorzystywany jest bufor DNS na komputerze użytkownika. W tym celu haker wykorzystuje opcję automatycznego pobierania plików.
Podczas gdy użytkownik przegląda strony internetowe, atakujący wykorzystuje luki bezpieczeństwa, które często występują na tych stronach. Dość łatwo jest zmienić kod HTML danej strony internetowej w taki sposób, aby pobierała informacje, gdy tylko ktoś na nią wejdzie.
Jeśli użytkownik nie kliknie łącza w wiadomości, haker po prostu poczeka, aż użytkownik połączy się z bankiem. Zmienione dane z bufora DNS przekierują go na podrobioną przez hakera wersję strony internetowej banku. Użytkownik wpisze swój identyfikator i hasło, tym samym przekazując hakerowi swoje dane do logowania na konto w banku i pozwalając mu na kradzież pieniędzy.
Jest kilka bardzo konkretnych rzeczy, które możesz zrobić, aby się chronić:
Obok stosowania się do powyższych zasad, organizacja powinna także: